Sécurité - ASA - Configuration de Single Sign-On pour WebVPN ccnp_cch
Sommaire Introduction Utilisation de signature unique avec WebVPN Configurer l'authentification SSO en utilisant SiteMinder - Configurer l'appliance de sécurité pour SiteMinder - Affecter le serveur SSO à des politiques de groupe et à des utilisateurs - Ajout du système d'authentification Cisco à SiteMinder Configurer SSO avec le protocole HTTP Form - Rassembler les données HTTP Form - Configurer SSO avec le protocole HTTP Form ccnp_cch
Utilisation de Single Sign-On avec WebVPN Introduction Ce document présente un exemple des procédures pour la configuration de Single Sign-ON (SSO) pour les utilisateurs WebVPN. Il comprend les sections suivantes: Utilisation de Single Sign-On avec WebVPN Configurer l'authentification SSO en utilisant SiteMinder Configurer SSO avec le protocole HTTP Form Utilisation de Single Sign-On avec WebVPN Single Sign-On permet à des utilisateurs WebVPN d'entre un nom d'utilisateur et un mot de passe une seule fois pour accéder à de multiples services protégés et à des ser- veurs Web. En général le mécanisme SSO démarre soit comme une partie du proces- sus AAA ou juste après une authentification utilisateur réussie avec un serveur AAA. Le serveur WebVPN opérant sur l'appliance de sécurité agit comme un proxy pour l'utilisateur vers le serveur authentifiant. Quand un utilisateur se loggue, le serveur WebVPN transmet une requête d'authentification SSO incluant le nom d'utilisateur et le mot de passe vers le serveur d'authentification en utilisant HTTPS. Si le serveur approuve la requête d'authentification, il retourne un "cookie" d'authentification SSO au serveur WebVPN. L'appliance de sécurité garde ce cookie sur enregistrement utili- sateur et l'utilise pour authentifier l'utilisateur afin de sécuriser les sites Web dans le domaine protégé par le serveur SSO. WebVPN supporte trois méthodes d'authentification SSO mais seules deux peuvent être utilisées avec l'ASDM: SSO avec Computer Associates eTrust SiteMinder (formelle- ment Netegrity SiteMinder) et SSO utilisant le protocole HHTP Form. La troisième mé- thode d'authentification SSO avec HTTP Basic et NTMv1 ( NT LAN Manager) est confi- gurable uniquement en utilisant l'interface ligne de comme de l'appliance de sécurité. La figure suivante illustre les étapes majeures de l'authentification SSO utilisées par les trois méthodes: 1. Un utilisateur WebVPN entre d'abord un nom d'utilisateur et un mot de passe pour se logguer sur le serveur WebVPN de l'appliance de sécurité. 2. Le serveur WebVPN agit comme un proxy pour l'utilisateur et achemine les données (utilisateur et mot de passe) vers un serveur Web d'authentification. 3. Si le serveur Web authentificateur approuve les données utilisateur, il retourne un "cookie" d'authentification vers le serveur WebVPN ou il est stocké pour cet utilisa- teur. 4. Le serveur WebVPN établit un tunnel vers l'utilisateur. 5. L'utilisateur peut maintenant accéder aux autres sites Web dans l'environnement SSO protégé sans entrer de nouveau un nom d'utilisateur et un mot de passe. ccnp_cch
Configurer l'authentification SSO en utilisant SiteMinder 2 Serveur Web authentificateur 1 3 4 5 Tunnel Serveur WebVPN 5 Autre serveur Web protégé Configurer l'authentification SSO en utilisant SiteMinder Cette section décrit la configuration de l'appliance de sécurité pour le support de SSO avec SiteMinder. Vous aurez typiquement à choisir d'implémenter SSO avec SiteMinder si votre infrastructure de sécurité site Web incorpore déjà SiteMinder. Avec cette mé- thode l'authentification SSO est séparé de AAA et elle se produit une fois que le pro- cessus AAA est terminé. Si vous voulez configurer SSO pour un utilisateur WebVPN ou un groupe vous devez d'abord configurer un serveur AAA tel un serveur RADIUS ou LDAP. Vous pouvez ensuite configurer le support SSO pour WebVPN. Cette section comprend les thèmes suivants: Configurer l'appliance de sécurité pour SiteMinder Affecter le Serveur SSO à des politiques de groupe ou à des utilisateurs Ajouter les systèmes d'authentification Cisco à SiteMinder Configurer l'appliance de sécurité pour SiteMinder Pour configurer SSO avec un nouveau serveur SiteMinder, exécutez ces étapes: Etape 1 Dans la fenêtre principale de Cisco ASDM choisissez Configuration > VPN > WebVPN > SSO Servers. La zone Serveurs SSO apparaît dans la partie droite de la fenêtre comme le montre la figure suivante: ccnp_cch
ccnp_cch Etape 2 Cliquez sur Add dans la zone SSO Servers. La boite de dialogue SSO Server apparaît. ccnp_cch
Etape 3 Dans le champ Server Name entrez le nom Server du Server SSO SiteMinder. Le nombre minimum de caractères est 4 et le nombre maximum de caractè- res est 31. Dans cet exemple, le nom du serveur est Example. Etape 4 Entrez l'URL du serveur SSO en exécutant les étapes suivantes: a. Choisissez soit HTTP soit HTTPS à partir du menu. Dans cet exemple nous avons choisi HTTPS pour sécuriser les messages d'authentification entre l'appliance de sécurité et le serveur SiteMinder. b. Entrez le reste de l'URL complète du serveur. Dans cet exemple, le reste de l'URL est www.example.com. C'est l'URL du serveur SSO vers laquelle l'application de sécurité fait ses requêtes d'authentification SSO. Etape 5 Entrez la clé secrète dans le champ Secret Key. C'est la clé secrète utilisée pour crypter les communications d'authentifica- tion avec le serveur SSO. La clé peut être constituée de tout caractère alpha- mérique. Il n'y a pas de nombre minimum ou maximum de caractères. La clé secrète est similaire à un mot de passe: Vous la créez, la sauvegardez et vous l'entrez sur l'appliance de sécurité et dans la politique du serveur SiteMinder. Voir la section "Ajouter le système d'authentification Cisco à SiteMinder". Dans cet exemple, la clé secrète est AtaL8rD8! Etape 6 Dans le champ Maximum Retries entrez le nombre de fois que l'appliance de tente de nouveau une authentification SSO qui a échoué. Cette étape est op- tionnelle. L'intervalle va de 1 à 5 tentatives et la valeur par défaut est 3. Dans cet exemple, le nombre maximum de tentatives est 3. Etape 7 Dans le champ Request Timeout, entrez le nombre de secondes avant de dé- clarer une tentative d'authentification SSO en échec. Cette étape est option- nelle. L'intervalle est de 1 à 30 secondes incluses et la valeur par défaut est de 5 secondes. Dans cet exemple, un timeout se produit après 5 secondes. ccnp_cch
utilisateurs ccnp_cch Etape 8 Cliquez sur OK pour entrer ce nouveau serveur SSO dans la table SSO de la fenêtre de l'ASDM. Etape 9 Cliquez sur Apply pour ajouter un nouveau serveur SSO à la configuration courante de l'appliance de sécurité. Affecter le serveur SSO à des politiques de groupe et à des utilisateurs Après avoir configuré le serveur SSO, vous devez spécifier l'authentification SSO soit pour une politique de groupe soit pour un utilisateur. Cette section contient: Affecter le serveur SSO à une politique de groupe Affecter le serveur SSO à un utilisateur Affecter le serveur SSO à une politique de groupe Note: Des procédures complètes pour la configuration des politiques de groupe sont disponibles dans d'autres documents. Les étapes suivantes sont uniquement celles qui s'appliquent à la configuration d'un serveur SSO SiteMinder. Pour affecter un serveur SSO à une politique de groupe, exécutez les étapes suivantes: Etape 1 Dans la fenêtre principale de Cisco ASDM choisissez Configuration > VPN > General > Group Policy. La zone Groupe Policy apparaît dans la partie droite de la fenêtre comme le montre la figure suivante: ccnp_cch
Etape 2 Dans le tableau Group Policy cliquez sur la politique de groupe à laquelle vous voulez affecter un serveur SSO SiteMinder. Etape 3 Cliquez sur Edit. La boite de dialogue Edit Internal Group Policy apparaît. Etape 4 Cliquez sur l'onglet General et ensuite cliquez sur l'onglet Other dans l'on- glet General. Etape 5 En face de SSO Server faites ce qui suit: Décochez la case Inherit Choisissez le nouveau serveur SSO dans le menu. Dans cet exemple, le serveur SSO est nommé Example. Etape 6 Cliquez sur OK pour retourner à la fenêtre de l'ASDM. Etape 7 Cliquez sur Apply pour entrer la configuration dans la configuration couran- te de l'appliance de sécurité. ccnp_cch
ccnp_cch Affecter le serveur SSO à un utilisateur Note: Des procédures complètes pour la configuration des utilisateurs sont disponi- bles dans d'autres documents. Les étapes suivantes sont uniquement celles qui s'ap- pliquent à la configuration d'un serveur SSO SiteMinder. Pour affecter un serveur SSO à un utilisateur, exécutez les étapes suivantes: Etape 1 Dans la fenêtre principale de Cisco ASDM choisissez Configuration > Properties > Device Administration > Users. La zone User Accounts apparaît dans la partie droite de la fenêtre com-me le montre la figure suivante: Etape 2 Dans le tableau User Accounts cliquez sur le User Name auquel vous voulez affecter un serveur SSO SiteMinder. Etape 3 Cliquez sur Add. La boite de dialogue Edit User Account apparaît. ccnp_cch
Etape 4 Cliquez sur l'onglet WebVPN et ensuite cliquez sur l'onglet Other dans l'on- Etape 5 En face de SSO Server faites ce qui suit: Décochez la case Inherit Choisissez le nouveau serveur SSO dans le menu. Dans cet exemple, le serveur SSO est nommé Example. Etape 6 Cliquez sur OK pour retourner à la fenêtre de l'ASDM. Etape 7 Cliquez sur Apply pour entrer la configuration dans la configuration couran- te de l'appliance de sécurité. ccnp_cch
Configurer SSO avec le protocole HTTP Form Ajout du système d'authentification Cisco à SiteMinder A côté de la configuration de l'appliance de sécurité pour SSO avec SiteMinder, vous devez également configurer la politique du Serveur Computer Associates SiteMinder avec le système d'authentification Cisco à l'aide d'un plug-in Java. Note: Configurer le serveur de politique SiteMinder requiert d'avoir de l'expérience avec SiteMinder. Cette section présente les tâches générales et non la procédure complète. Référez-vous à la documentation de SiteMinder pour la procédure complète d'ajout d'un système d'authentification personnalisé. Pour configurer le système d'authentification Cisco sur le serveur SiteMinder, exécutez les étapes suivantes: Etape 1 Avec l'utilitaire SiteMinder Administration, créez un système d'authentifi- cation personnalisé en vous assurant d'utiliser les arguments spécifiques suivants: Dans le champ Library entrez smjavaapi. Dans le champ Secret, entrez le même secret que celui configuré sur l'appliance de sécurité. Vous configurez cela sur l'appliance de sécurité soit avec la commande policy-server-secret de l'interface ligne de commande soit avec le champ Secret Key de la boite de dialogue Add SSO Server de l'ASDM. Dans le champ Parameter, entrez CiscoAuthAPI. Etape 2 Copiez le fichier cisco-vpn-auth.jar du CD vers le répertoire par défaut de la librairie du serveur SiteMinder. Configurer SSO avec le protocole HTTP Form Cette section décrit l'utilisation du protocole HTTP pour SSO. Le protocole HTTP Form est une approche commune pour l'authentification SSO qui peut être également quali- fiée comme une méthode AAA. Celui-ci fournit une méthode sécurisée pour l'échange d'informations d'authentification entre utilisateurs WebVPN et l'authentification de serveurs Web. Comme c'est un protocole classique, il est hautement compatible avec les serveurs Web et les produits Web basés SSO et vous pouvez l'utiliser en conjonc- tion avec d'autres serveurs AAA tels que des serveurs RADIUS ou LDAP. Comme avec SiteMinder, l'appliance de sécurité sert de proxy pour les utilisateurs WebVPN vers un serveur d'authentification mais de ce cas elle utilise le protocole HTTP Form et la méthode POST pour les requêtes. Vous devez configurer l'appliance de ccnp_cch
sécurité pour qu'elle transmette et reçoive des données de type "form". Note: Pour configurer correctement SSO avec le protocole HTTP Form, vous devez avoir une connaissance pratique approfondie de l'authentification et des échanges du proto- cole HTTP. Tandis que vous espériez configurer les paramètres "form" qui permettent à l'appliance de sécurité d'inclure des données POST telles que le nom d'utilisateur et le mot de pas- se, vous pouvez ne pas être au courant des paramètres cachés additionnels que le ser- veur web requiert. Quelques applications d'authentification attendent des données ca- chées qui ne sont ni visibles ni entrées par l'utilisateur. Vous pouvez toutefois décou- vrir les paramètres cachés que le serveur d'authentification attend en faisant une re- quête d'authentification directe vers le serveur Web à partir de votre navigateur sans l'appliance de sécurité agissant comme serveur proxy entre eux. L'analyse de la répon- se du serveur Web en utilisant un analyseur d'en-tête HTTP révèle les paramètres ca- chés dans un format similaire au suivant: <param name>=<URL encoded value>&<param name>=<URL encoded> Certains paramètres cachés sont obligatoires d'autres sont optionnels. Si le serveur Web requiert des données pour un paramètre caché, il rejette toute requête POST d'au- thentification qui omet cette donnée. Comme un analyseur d'en-tête ne peut pas dire si un paramètre est obligatoire ou optionnel, il est recommandé d'inclure tous les para- mètres cachés jusqu'à ce que vous déterminiez ceux qui sont obligatoires. Cette section décrit: Rassembler les données HTTP Form Configurer SSO avec le protocole HTTP Form Affecter le serveur SSO à un groupe Tunnel Rassembler les données HTTP Form Cette section présente les étapes de découverte et de rassemblement des données HTTP Form requises pour configurer SSO si vous ne connaissez pas ces données. Pour ras- sembler les données vous devez analyser les réponses du serveur web d'authentifica- tion en analysant l'en-tête HTTP. Pour rassembler les données de paramètres, exécutez ces étapes: Etape 1 Démarrez votre navigateur et l'analyseur d'en-tête HTTP et connectez vous directement à la page de login du serveur Web sans passer par l'appliance de sécurité. La page de login du serveur Wb se charge sur le navigateur. Etape 2 Examinez l'échange de login avec votre analyseur d'en-tête HTTP. Si le serveur Web a chargé un "cookie" avec la page de login, copiez l'URL de la page de login. C'est l'URL de départ. ccnp_cch
Etape 3 Entrez le nom d'utilisateur et le mot de passe pour vous logguer sur le serveur Web et validez par la touche Enter. Cette action génère la requête d'authentification POST que vous allez exa- miner en utilisant l'analyseur d'en-tête HTTP. Voici un exemple de requête POST avec l'en-tête host HTTP et le corps. POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125cac058846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$ 5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F HTTP/1.1 Host: www.example.com (BODY) SMENC=ISO-8591&SMLOCALE=USEN&USERID=Anyuser&USER_PASSWORD=XXXXXX& target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 Etape 4 Examinez la requête POST et copiez le protocole, le host et l'URL. Cela est nécessaire pour configurer le paramètre action URI par la suite. Etape 5 Examinez le corps de la requête POST et copiez les informations suivan- tes: a. Paramètre username. Dans cet exemple le paramètre est userid (pas la valeur anyuser). b. Paramètre password. Dans cet exemple le paramètre est user-password. c. Paramètre caché Ce paramètre peut être quelconque dans le corps excepté les paramè- tres username et password. Dans cet exemple le paramètre caché est: SMENC=ISO-88591&SMLOCALE=USEN&target=https%3A%2F%2Fwww.example.com%2 Femco%2Fmyemco%2F&smauthreason=0 Les paramètres cachés sont typiquement présentés sous la forme sui- vante: <param name>=<URL encoded value>&<parm name>=<URL encoded> Quelques paramètres cachés sont obligatoires et d'autres sont option- nels. si le serveur Web requiert des données pour un paramètre caché, il rejette toute requête d'authentification POST qui omet ces données. Comme un analyseur d'en-tête ne peut pas indiquer si un paramètre est obligatoire ou non, il est recommandé d'inclure tous les paramètres cachés jusqu'à ce que vous puissiez déterminer le ou lesquels sont obli- gatoires. ccnp_cch
La figure suivante met en évidence les paramètres username, password et le paramètre caché action URI trouvés en utilisant l'analyseur d'en-tête HTTP. Ceci est seulement un exemple; les informations peuvent largement varier parmi les différents sites Web. 1 8 Host : webauth.example.com 2 14 passur1=&page=1&user=userid&passwd=user_password&x=32&y=5 3 1 Paramètre action URI 2 Paramètres cachés 3 Paramètres username et password Etape 6 Si vous vous logguez avec succès sur le site Web, examinez la réponse avec l'analyseur d'en-tête HTTP pour localiser le nom du "cookie" de ses- sion fixé par le serveur dans votre navigateur. C'est la valeur Authentica- tion Cookie Name. Dans l'en-tête de la réponse suivante du serveur le nom de la session cookie est SMSESSION. Vous avez seulement besoin du nom et pas de la valeur. Set-Cookie: SMSESSION=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;Domain=.example.com;Path=/ ccnp_cch
La figure suivante montre un exemple de cookie d'autorisation dans la sortie de l'analyseur HTTP. Ceci est seulement un exemple; les informa-tions peuvent largement varier parmi les différents sites Web. AUTH=;path=/;domain.exemple.com;expires=Wed, 01 Jan-2008 00:00:00 GMT; SAUTH=;path=/;domain.exemple.com;expires=Wed, 01 Jan-2008 00:00:00 GMT; secure 1 1 Cookies d'autorisation Dans certains cas, le serveur peut avoir le même cookie sans tenir comp-te si l'authentification a réussi ou non. Un tel cookie n'est pas acceptable pour des fonctions SSO. Etape 7 Pour confirmer que les cookies sont différents, répétez les étapes 1 à 6 en utilisant des informations d'identité de login invalides et comparez le coo- kie pour une authentification réussie avec celui d'un échec authentifica-tion. Vous avez maintenant les données des paramètres nécessaires pour con- figurer l'appliance de sécurité pour SSO avec le protocole HTTP Form Configurer SSO avec le protocole HTTP Form Cette section présente un exemple de procédure pour la configuration SSO avec le pro- tocole HTTP Form en utilisant les paramètres rassemblés dans la section précédente. Dans cette procédure, il y a des étapes qui sont toujours requises et des étapes qui sont requises uniquement dans certains cas. Les étapes qui sont toujours requises sont la configuration de : Action URI Paramètre username Paramètre password Les autres étapes sont uniquement requises si le serveur Web d'authentification les demande. Ce sont les configurations de : URL de départ Paramètres cachés Nom de cookie d'authentification Exécutez les étapes suivantes pour configurer l'appliance de sécurité pour utiliser le protocole HTTP pour SSO. ccnp_cch
Etape 1 Dans la fenêtre principale de l'ASDM Cisco, choisissez Configuration> Properties> AAA Setup> AAA Servers. La zone AAA Servers apparaît dans la fenêtre comme le montre la figure suivante. Etape 2 Cliquez sur Add dans la zone Servers Groups. La boite de dialogue Add AAA Server Group apparaît. ccnp_cch
Etape 3 Entrez le nom du groupe de serveurs dans le champ Server Group. Dans cet exemple, le nom du groupe de serveurs est sso-server-grp1. Etape 4 A partir du menu Protocol, choisissez HTTP Form. Le reste des éléments de la boîte de dialogue reste inaccessible. Etape 5 Cliquez sur OK pour retourner à la fenêtre de l'ASDM. Etape 6 Si cela n'est pas déjà sélectionné, cliquez sur le Server Group que vous venez de créer pour le sélectionner. Etape 7 Cliquez sur Add dans Servers dans la zone Selected Group. La boite de dialogue Add AAA server apparaît. La figure suivante montre cette boite de dialogue remplie avec les valeurs décrites dans les étapes 8 à 16. Etape 8 A partir du menu Interface Name, choisissez inside, outside ou mana-gement. Dans cet exemple nous avons choisi inside. La sélection de l'interface n'a pas d'effet sur la fonctionnalité. ccnp_cch
Etape 9 Dans le champ Server Name or IP Adress, entrez le nom ou l'adresse du serveur Web d'authentification. Dans cet exemple nous entrons l'adresse IP interne. Etape 10 Dans le champ Timeout entrez le temps d'attente en secondes à partir duquel une tentative d'authentification SSO sera déclarée en échec. Etape 11 Si le serveur Web d'authentification fixe un cookie de de pre-login, confi- gurez l'URL de départ à partir de laquelle il faut récupérer le cookie du serveur Web en exécutant les étapes suivantes: a. Dans le menu Start URL faire un des choix suivants: - http pour des messages non-cryptés entre l'appliance de sécurité et le serveur Web ou - https pour des sécurisés entre l'appliance de sécurité et le serveur Web. b. Dans le menu Start URL, entrez le reste de l'URL de départ pour le serveur d'authentification Web. Dans cet exemple, l'URL de départ complète est : http://example.com/east/Area.do?Page-Grp1. Etape 12 Dans le champ Action URI, entrez l'URI pour le programme d'authentifi- cation sur le serveur Web. Le nombre maximum de caractères pour une URI complète est 2048. Voici l'Action URI de cet exemple. http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-b418333b16a 0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com Note: Vous devez inclure le nom de host et le protocole dans Action URI. Dans l'exemple précédent, cela apparaît au début de l'URI dans http://www.example.com. Etape 13 Dans le champ Username entrez le nom du paramètre username pour la requête HTTP POST. Dans cet exemple, le paramètre username est userid. Etape 14 Dans le champ Password entrez le nom du paramètre password pour la requête HTTP. Dans cet exemple le nom du paramètre password est user_password. ccnp_cch
Etape 15 Si le serveur Web attend des paramètres cachés dans la requête POST, entrez les paramètres cachés attendus dans le champ Hidden values. Dans cet exemple, le champ Hidden Values est: SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco %2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0 Cette entrée extraite d'une requête POST request, comprend quatre en-trées form et leurs valeurs, chacune séparées par &, les quatre entrées et leurs valeurs sont: • SMENC avec la valeur ISO-8859-1 • SMLOCALE avec la valeur US-EN • target avec la valeur https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do %3FEMCOPageCode%3DENG • smauthreason avec la valeur 0 Etape 16 Entrez le nom du cookie d'authentification dans le champ Authentica- tion Cookie Name. Cette étape est optionnelle. Dans cet exemple le nom du cookie d'authentification est : ExampAuthCookie Etape 17 Cliquez sur OK pour retourner à la fenêtre de l'ASDM. Etape 18 Cliquez sur Apply pour ajouter un nouveau serveur SSO et le groupe de serveur à la configuration courante. Affecter un serveur SSO à un groupe Tunnel La tâche finale est d'affecter le nouveau serveur SSO à un groupe Tunnel existant ou nouveau. Dans cet exemple, nous affectons le serveur SSO à un nouveau groupe Tun- nel WebVPN nommé WebVPNGroup1 en exécutant les tâches suivantes: Etape 1 Dans la fenêtre principale de l'ASDM Cisco, choisissez Configuration> VPN> General> Tunnel Group. Etape 2 Cliquez sur Add et choisissez WebVPN access. La boite de dialogue Add Tunnel Group apparaît avec les onglets General et Basic affichés. Etape 3 Entrez le nom du groupe Tunnel dans le champ Name. Dans cet exemple, le nom est WebVPNGroup1. Etape 4 Cliquez sur l'onglet AAA et sélectionnez le nouveau groupe avec SSO dans le menu Authentication Server Group. Dans cet exemple, le nom du groupe de serveurs est iso-server-grp-1. ccnp_cch
Etape 5 Cliquez sur OK pour retourner à la fenêtre Configuration> VPN> Gene-ral> Tunnel Group et ensuite cliquez sur Apply pour ajouter le groupe Tunnel à la configuration courante. ccnp_cch